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(57) Abstract 
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system for error-free operation is determined in order to detect sensor and/or actor errors. The attainable states for bodi descriptions are 
preferably determined by model checking. A varying number of states of both descriptions is formed, said states being checked as to 
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(57) Zusammenfassuiig 

Es wiixl ein Veif ahien vorgeschlagen, bei dem fttr einen Fehler eines Sensors und/oder eines Aktors eine zustandsendliche Beschieibung 
des technischen Syst;em$ fUr den Fehlexfall und eine zustandsendliche Beschreibung des technischen Systems fOr den fehl^freien Fall ennittelt 
wird. FQr beide Beschieibungen weiden jeweils die eneichbaren Zust&ide vorzugsweise mittels Model Checking ennittelt Es wild eine 
Differenzmenge von Zustdnden der beiden Beschieibungen gebildet, flh- deren Zustande QbeiprOft wild, ob diese Zust&ide vorgebbaren 
Bedingungen gentkgen (z,B. Sicherfaeitsbedingungen). 
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Beschreibung 

Verfahren zur rechnergesttitzten Fehleranalyse von Sensoren 
und/oder Aktoren in einem technischen System 

5 . 

Fur komplexe technische Systeme Oder Anlagen 1st es von enor- 
mer Bedeutung, Aussagen Uber die Zuverlassigkeit des jeweili- 
gen Systems bzw» der Anlage treffen zu kSnnen. 

10 Es ist bekannt, daB. Aus$agen iiber die Zuverlassigkeit eines 
, beliebigen technischen Systems bzw. einer Anlage manuell, 

beispielsweise durch eine sog* Fehlerbaumanalyse (vgl. [1]), 
Oder simulativ bzw. analytisch auf Basis von speziell zu die- 
sem Zweck erstellten Modellen {vgl. [2]) erzeugt werden kon- 

15 nen. Zur einfacheren Darstellung wird im weiteren nur noch 

von technischen Systemen gesprochen. Technische Anlagen sind 
im Rahmen dieses Dokuments jedoch in dem Begriff des techni- 
schen Systems umfaBt. Eine vollstandige manuelle Ermittlung 
der Auswirkungen eines technischen Fehlverhaltens von Senso- 

20 ren und/oder Aktoren^ ist in ^inem komplexen technischen Sy- 
stem auf grund der vernetzten Abhangigkeiten. und der unter-. 
schiedlichen Realisierungsformen der Steuerung, des gesteuer- 
ten Systems und der Sensorik und/oder Aktorik praktisch nicht 
moglich. Die in [2] beschriebenen analytischen Techniken ef- 

25 fordern die Erstellung eines speziellen Modells, fUr das im 
allgemeinen nicht garantiert werden kann, dafi es das jeweils 
betrachtete System korrekt beschreibt. Dadurch wird natlirlich 
die Qualitat der Aussagen erheblich reduziert. Ferner ist ein 
erheblicher Nachteil der in [2] beschriebenen Ansatze, daJB 

30. die Modellerstellung zusatzlichen Entwicklungsauf wand und 
• Zeit erfordert. Dadurch wird eiiie kurzfristige Untersuchung 
alternativer Realisierungen eines technischen Systems, was 
auch als Rapid Prototyping bezeichnet wird, verhindert. 

35 Es ist bekannt, ein techniisches System in einer zustandsend- 
lichen Beschreib\ing, z.B. als Automat, zu beschreiben. Eine 
zustandsendli.che Beschreibung weist tiblicherweise ZustSnde 
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auf, in denen Aktionen durchgefUhrt werden, werm sich das 
technische System in dem jeweiligen Zustand befindet. Ferner 
weist die zustandsendliche Beschreibvmg tiblicherweise Zu- 
standstlbergange auf , die mogliche Wechsel des technischen Sy- 
5 stems zwischen Zustanden beschreiben. Auch bei Zustandsliber- 
gangen kann das technische System Aktiohen durchfUhren. In 
einem gesteuerten technischen System ist es in diesem Zusam- 
menhang bekannt, die zustandsendliche Beschreibung derart 
auszugestalten, dafi das Verhalten der Steuerung des techni- 
10 schen Systems und das Verhalten der gesteuerten Anlage als 

Zustands automat dargestellt wird. Auch ist bei diesen Ansat- 
zen nicht sichergestellt, daB alle moglichen Fehlerauswirkun- 
gen auf das System korrekt ermittelt werden. 

15 MSglichkeiten zur textuellen; Beschreibung eines Zustandsauto-^ 
maten, die mit einem Rechner verarbeitet wird, sind z.B. I^n- 
terlocking Specification Language (ISL) oder Control Specifi- 
cation Language (CSL) , die in [3] beschrieben sind. 

20 Es ist ferner bekannt, eine zustandsendliche Beschreibung ftir 
die Generierung von Steuerungen durch einen Rechner und fUr 
den rechnergestUtzten Nachweis von Eigenschaf ten eines feh- 
lerfreien technischen Systems zu verwenden. 

25 Eine Moglichkeit zum rechnergesttitzten Nachweis von Eigen- 

schaften eines fehlerfreien technischen Systems verwehdet das 
Prinzip des sog. Model Checkings, das in [4] beschrieben ist. 

Ferner ist es bekannt zur zustandsendlichen Beschreibung ei- 
30 nes Systems ein sogenanntes Finite State Machine- Format (FSM- 
■ Format) -zu verwenden, deren Grundlagen in [5] beschrieben 
sind. Binary Decision Diagrams (BDD) besitzen den Vorteil, in 
vielen Fallen auch sehr umfangreiche Zustandssysteme kompakt 
.. zu reprasjBntieren. 

35 

Somit liegt der Erfindung das Problem zugrunde, ein Verfahren 
zur rechnergestUtzten Fehleranalyse von Sensoren und/oder Ak- 
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toren in einem technischen System anzugeben, mit dem die Kor- 
rektheit der Fehleranalyse gewahrleistet wird. 

Das Problem wird durch das Verfahren mit den Merloaalen des 
5 Patent anspruchs 1 gelOst. 

Das Verfahren wird mit einem Rechner durchgef tihrt und umfafit 
folgende Schritte: 

a) fur einen Fehler eines Sensors und/oder eines Aktors des 
10 Systems wird eine zustandsendliche Beschreibung des techni- 
schen Systems fur den Fehler fall ermittelt, 

b) fiir das technische System wird eine erste Menge erreichba- 
rer Zustande ermittelt, 

c) ftir.das f ehlerbehaf tete technische System wird eine zweite 
15 Menge erreichbarer ZustSnde ermittelt, 

d) es wird eine Dif f erenzmenge aus der ersten Menge uhd der 
zweiten Menge gebildet, 

e) es werden Ergebnis zustande aus der Dif f erenzmenge ermit- 
telt, die vorgebbaren Bedingtingen geniigen. 

20 

Anschaulich kann die Erfindung dadurch beschrieben werden, 
daB ein Model Checking sowohl fUr das fehleirfreie. technische 
System als auch ein mit einem Fehler eines Sensors und/oder 
Aktors behafteten System durchgefiihrt wird. Durch das Model 

25 Checking werden alle erreichbaren Zustande des fehlerfreien 
bzw. des f ehlerbehaf teten Systems ermittelt. Aus diesen Zu- 
standen wird eine Dif f erenzmenge von Zustanden gebildet. Fur 
die Dif f erenzmenge werden die Zustande der Dif f erenzmenge er- 
mittelt, die einer vorgebbaren Bedingung geniigen, z.B. einer 

30 Sicherheitsanf orderung an das System. Diese Zustande stellen 
• ftir den- jeweils untersuchten Fehler fall einen „gef ahrlichen^^ 
Zustand bzgl. der vorgebbaren Bedingung dar. 

Durch das Verfahren wird gewahrleistet, dafi alle fUr den je- 
35 weils untersuchten Fehlerfall, d.'h. far den fehlerhaften Sen- 
sor und/oder Aktor, hinsichtlich vorgebbarer Bedingungen 
„gef ahrliche^^ Zustande ermittelt werden. 
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Vorteilhafte Weiterbildungen der Erfindung ergeben sich aus 
den abhSngigen Ansprtlchen. 

5 Es ist vorteilhaft, das Verfahren ftir alle moglichen Fehler 
von Sensoren und/oder Aktoren, die das technische System auf- 
weist/ durchzuf iihren • Auf diese Weise wird fiir das gesamte 
System gewahrleistet, dafi hinsichtlich vorgebbarer Bedingun- 
gen alle ,,gef ahrlichen^' Zustande ermittelt werden. 

10 

Ferner ist es vorteilhaft, den Sensoren und/oder Aktoren Aus- 
f allwahrscheinlichkeiten zuzuordnen und die Fehleranalyse un- 
ter BerUcksichtigung der Ausf allwahrscheinlichkeiten durchzu- 
fuhren. Auf diese Weise wird es ohne groiieren Rechenaufwand 
15 bei der Durchftihrung des Verf ahrens mit einem Rechner. mog- 
lich, fiir die ermittelten ZustSnde anzugeben^ mit welcher 
Wahrscheinlichkeit dieser Zustand tatsachlich erreicht wird/ 
womit eine RisikoabschStzung fUr das jeweils analysierte Sy- 
stem sehr einf ach und anschaulich mSglich wird. 

20 

Weiterhin ist es zur weiteren Rechenzeiteinsparung bei der 
DurchfUhrung des Verfahrens mit einem Rechner vorteilhaft, 
die zustandsendliche Beschreibung durch einen endlichen Auto- 
maten in Form eines Binary Decision Diagrams (HDD) zu reali- 
25 sieren. 

Das Verfahren kann durch die oben Beschriebenen Eigenschaf ten 
sehr vorteilhaft in folgenden Gebieten Verwendung finden: 

- beim Rapid Prototyping des technischen Systems. 

30 - im Rahmen der Fehlerdiagnose des technischen Systems. 

- zur Generierung kritischer Priiffalle far eine Inbetriebset- 
zung und einen Systemtest des technischen Systems. 

- zur praventiven Wartung des technischen Systems. 

35 In den Figuren ist ein AusfUhrungsbeispiel . der Erfindung dar- 
gestellt, welches im weiteren nSher erlSutert wird. 
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Es zeigen 

Figur 1 ein skizzenhafte Darstellung des Verfahrens; 
Figur 2 eine Skizze einer zustandisendlichen Beschreibung 
einer Steuerung und des durch die Steueriing 
5 gesteuerten Prozesses eines technischen Systems, 

wobei die fehlerfreie Steuerung und der ProzeB 
jeweils als ein eigener Zustandsautomat beschrieben 
sind; 

Figur 3 eine Skizze der zustandsendlichen Beschreibung aus 
10 Figur 1 mit einem symbolisch dargestellten allge- 

meinen Sensorfehlermodell und Aktorf ehlermodell; 
Figur 4 eine Skizze der zustandsendlichen Beschreibung aus 
Figur 1 mit einem symbolisch dargestellten nicht- 
persistenten Fehler eines, Sensors; 
15 ' Figur 5 eine Skizze der zustandsendlichen Beschreibung aus . 

Figur 1 mit dem Fehler aus Figur 4, wobei als Er- 
satz 

des Fehlermodells die Steuerung modifiziert wurde;. 
Figur 6 eine Skizze einer Draufsicht des Ausftihrungsbei- 
20 spiels, einem Hubdrehtisch einer Fertigungszelle; 

Figur 7 eine Skizze, in der die vorgesehene Bewegxing des 

Hiibdrehtischs aus Figur 6 dargestellt ist; 
Figur 8 eine Skizze des Zustandsraums des fehlerfreien 

Hubdr eht i s chs ; 

25 Figur 9 eine Skizze des Zustandsraioms eines f ehlerbehaf te- 
ten Hubdrehtisch; 

Eine geeignete zustandsendliche Beschreibung stellt das Ver- 
halten der Steuerung und das Verhalten der gesteuerten Anlage 
30 als Zustandsautomat dar. Die Darstellung kann auf unter- 
• schiedliche Weise, z.B. in textueller Form unter Verwendung 
von ISL.oder CSL, erfolgen. 

In Figur 2 ist ein einf aches technisches System mit einer 
35 fehlerfreien Steuerung FS, Zustanden yl, y2, y3 und Zu- 

standstibergangen xl, x2 als Zustandsautomat dargestellt. Die 
Steuerung S beschreibt als Zustande Aktoren. Ein gesteuerter 
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Prozefi P enthait die Beschreibxing von Sensoren xl, x2, x3 als 
Zustande xl, x2, x3 und Zustahdstibergange yl, y2, y3. 

Die Steueriing S des Systems reagiert auf Mefiwerte xj (xl/ x2, 
5 .x3) von Sensoren X.Somit werden durch Sensordaten daher in 
der Steuerung S ZustandsUbergange ausgelost . Die ZustSnde 
sind durch Werte yi (yl, y2, y3) von Zustandsvariablen Y cha- 
rakterisiert, die Aktoren zugeordnet sind. Das Stellen von 
Aktoren Y lost wiederum ZustandsObergange in der gesteuerten 
10 Anlage, d.h. in dem Prozeli P aus, was sich in einer Modifika- 
tion der Werte der Sensoren X auBert. 

Die Zustandsautomaten der Steuerung S und des Prozesses P 
fUhren alternierend ZustandsUbergange durch. Die Ausgaben des 
15 einen Automaten sind die Eingaben des jeweils anderen Automa- 
ten. 

Die Schnittstelle zwischen Steuerung vmd gesteuerter Umgebung 
kann in einer entsprechenden Beschreibung automatisch erkannt 
20 werden. Ferner ist es mdglich, wie im weiterem detailliert 

beschrieben wird, einer derartigen Beschreibung den Wertevor- 
rat zu entnehmen, den die einzelnen Werte (Zustande bzw. Zu- 
standsUbergange) annehmen k6nnen. 

25 In Figur 3 ist symbolisch eine Fehlermodellierung fUr fehler- 
hafte Sensoren in einem Sensorfehlermpdell SF und fUr fehler^ 
hafte Aktoren in einem Aktorf ehlermodell AF dargestellt. 

Technisch sind also an der Schnittstelle zwischen Steuerung S 

30 und gesteuertem Prozefi P Sensoren X und Aktoren Y angeschlos- 

• sen. Ein Fehlverhalten eines Sensors X fUhrt dazu, dafi an- 

stelle des . korrekten MeBwerts xj ein anderer, f ehlerhaf ter 
t . 

Wert Xj an die Steuerung S geliefert wird, d.h. der Steue- 
rung S zugefUhrt wird. Ein Fehlverhalten eines Aktors aufiert 
35 sich im Einstellen eines falschen Werts y^ anstelle des 

Werts yi. Welche Sensoren X und Aktoren Y vorhanden sind und 
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welcher Wertevorrat hier zu. berticksichtigen ist, kann der zu- 
standsendlichen Beschreibimg entnommen warden. 

Dies gestattet die automatisierte, systematische Analyse der 
5 Auswirkungen von Sensor- und Aktorfehlern auf das Verhalten 
eines gesteuerten Systems. Zwischen den gesteuerten ProzeB P 
und die Steuerung S werden Sensorf ehlermodelle SF bzw.. Aktor- 
fehlermodelle AF geschaltet, die den jeweiligen Fehler des 
Sensors x und/oder Aktors y beschreiben. In der Figur 3 sind 
10 beispielhaft Modelle fur intermittierende (nicht persistente) 
Einzelf ehler der Sensorik und Aktorik angegeben. 

Ein nichtpersistenter Einzelf ehler eines Sensors x wird be- 
schrieben durch folgende Vorschrift: 

15 ' . 

Xj = Xjl j ^ n (fehlerfreie Werte) 



(fehlerhafter Wert) . 

Ein nichtpersistenter Einzelfehler eines Aktors y wird be- 
schrieben durch folgende Vorschrift: 

20 * ' 



(fehlerfreie Werte) 



(fehlerhafter Wert) . 



Figur 4 zeigt das allgeiueine Sensorf ehlermodell. SF aus Figur 
3 fiir den Fall, daB ein nichtpersistenter Einzelfehler bei 
einem ersten Sensorwert xl vorliegt derart,^ dali der erste 
Sensorwert xl entweder den korrekten ersten Sensorwert xl 
Oder auf grund eines Sensorf ehlers einen zweiten Sensorwert x2 
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aufweist, der in dlesem Fall ein fehlerhafter Wert ware. Der 
zweite Sensorwert x2 und ein dritter Sensorwert x3 werden 
korrekt gemessen. 

5 Eine wichtige Frage, die es zu beantworten gilt, ist nun, ob 
die Kombination aus Steuerung S und gesteuerten Prozefi P auf ■ 
grund des Sensorf ehlers in kritische ZustSnde gelangen kann, 
die im fehlerfreien Fall sicher ausgeschlossen werden konn- 
ten^ 

10 

Eine Moglichkeit, diesen Nachweis fUr den fehlerfreien Faill 
zu erbringen, bietet das sogenannte Model Checking, welches 
in [4] beschrieben ist. Dieses Verfahren gestattet es, die 
Menge der erreichbaren Zustande zu ermitteln und zu untersu- 
15 Chen, ob Zustande enthalten sind, die z.B. Sicherheitsbedin- 
gungen verletzen. 

Urn diese Technik zur Fehleranalyse von in. dem System enthal- 
tenen Sensoren X xind/oder Aktoren Y anwenden zu konnen, wer- 
20 den hier die Sensorf ehlermpdelle SF bzw. Aktorf ehlermodelie 
AF durch eine geanderte Steuerungslogik beschrieben 
(vgl. Figur 5) . 

Die in Figur 5 dargestellte Kombination aus Steuerung S und 
25 gesteuertem Prozefi P verhalt sich identisch zu dem in Figur 4 
dargestellten Modell filr den Fehlerf all bei dem ersten Sen- 
sorwert xl. Es kann hier jedoch auf den Einschub eines expli- 
ziten Fehlermpdells zwischen Steuerung S und gesteuertem Pro- 
zefi P verzichtet werden. Auf grund des angenommenen intermit- 
30 tierenden Fehlers werden in der Steuerung mit xl indizierte 
• Zustandstibergange parallel zu den mit x2 markierten Zu- 
standstibergangen hinzugefUgt. 

Damit wird der folgende Sachverhalt beschrieben: 
35 Der zweite Sensorwert x2 und der dritte Sensorwert x3 werden 
korrekt gemessen. Daher ist das Steuerungsverhalten far diese 
Werte unmbdif iziert . Da ein intermittierender Fehler angenom- 
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men wird, kann auch der erste Sensorwert xl korrekt gemeldet 
werden, so daB diese ZustandsObergange erhalten bleiben. 
Wiirde eine persistente Vertauschung von dem ersten Sensorwert 
xl mit dem zweiten Sensorwert x2 angenoinitien, so mOJiten mit xl 
beschriftete Kanten geloscht werden. Alle Zustandsiibergange 
die mit x2 markiert sind, konnen nun auch beim Wert xl durch- 
laufen werden. Daher wird eine entsprechende Kante .in der 
vSteuerung S erganzt. Die Steuerung S reagiert auf den Wert 
x2, aber an der Stelle xl des Prozesses. 

Diese Modifikatioii der Steuerungslogik zur Beschreibung von 
Fehlern kann formal ftlr alle betrachtbaren Fehler automatisch 
durch den Rechner durchgeftihrt werden. 

15 Fur die entstehenden Modelle konnen die Fragen nach.der Er- 
reichbarkeit von kritischen Zustanden (z.B. Sicherheit, Ver- 
klemmungen) ebenfalls durch Anwendung des Model Checkings be^ 
antwortet werden. Es erfolgt also eine automatische Ermitt- 
lung der im f ehlerbehaf teten System erreichbaren Zustahde 

20 vorzugsweise unter Verwendung des Model Checkings. 

Anschliefiend wird jeweils eine Dif f erenzmenge der im jeweili- 
gen Fehlerf all erreichbaren Zustande und der im fehlerfreien 
Fall erreichbaren Zustande ermittelt. 



25 



30 



Aus der Dif f erenzmenge werden jene Zustande ermittelt, die 
mindestens einer vom Benutzer vorgebbaren Bedinguhg (z.B. 
Verletzung einer Sicherheitsanf orderung) gentigen bzw.. diese 
verletzen, je nach Anwendung. ' 



In Figur 1 ist diese Vorgehensweise noch einmal in einem 
Blockschaltbild symbolisch dargesteilt. Ftlr die Steuerung FS 
und den gesteiierten ProzeB P wird mindestens ein Sensprfeh- 
lermodell SF und/oder mindestens ein Aktdrf ehlermodell AF er- 
35 stellt, unter deren Berticksichtigung eine formale Analyse der 
zustandsendlichen Beschreibung ftlr das f ehlerbehaf tete System 
vorzugsweise durch Model Checking erfolgt. 
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FUr das Ergebnis des Vergleichs mit dem fehlerfreien System 
und der Ermittlung ,,gef ahrlicher^^ Zustande werden die Ursa- 
che-Wirkungs-Zusammenhange zwischen Sensor- bzw. Aktorfehlern 
5 und dem moglichen Eintritt der betrachteten Wirkung ermittelt 
und vorzugsweise in einem Ursache-Wirkungs-Graph dargestellt. 

Tn Figur 6. ist ein technisches System in Form eines Hubdreh- 
tischs HD einer Fertigungszelle FZ dargestellt, mit dem das 
10 Verfahren noch detaillierter dargestellt werden soli. 

Die Fertigungszelle FZ weist ein zufuhrendes Forderband FB, 
an dessen Ende ein Hubdrehtisch Werkstticke WS aufnimmt und 
einem Roboter R zufiihrt. Der Roboter R legt das WerkstUck WS 
15 in eine Presse PR und gibt es nach dem Formen auf ein wegfiih- 
rendes Band WB. Die Fertigungszelle FZ enthait entsprechende 
Sensoren X und Aktoren Y. 

Der Hubdrehtisch HD kann sich mit Hilfe zweier Antriebe 
20 (nicht dargestellt) in vertikaler (vmov) und horizontaler 
(hmov) Richtung bewegen, Jeder Antrieb kann in negative 
(minus) oder positive (plus) Richtung angesteuert werden oder 
stillstehen (stop) . 

25 Der Hubdrehtisch HD verfiigt' tiber Sensoren X zur vertikalen 
(vpos) und horizontalen (hpos) Positionserf assung, die die 
Positionen xO (unten) , xl (mitte) und x2 (oben) unterscheiden 
konnen. Zusatzlich erfafit ein weiterer Sensor ( par t_o notable) 
(nicht dargestellt) das Vorhandensein eines. Werkstucks. WS auf 

30 dem Hubdrehtisch HD. 

Die Ausgangsposition AP des Hubdrehtischs HD ist am unteren, 
linken Anschlag (x0,x0) ohne WerkstQck WS (vgl. Figur 7). 
Falls ein WerkstUck WS vom zuftlhrenden Forderband FB aiif den 
35 Hubdrehtisch HD f ailt, so ist die Zielposition ZP des Hub- 
drehtischs HD oben rechts (x2, x2) . 
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Der Hubdrehtisch HD darf niemals eine andere horizontale Po- 
sition als xO (linker Anschlag) in Kombination mit der verti-- 
kalen Position xO (unten) einnehmen/ da er sonst mit dem zu- 
fahrenden Forderband FB kollidieren wtlrde (verbotener Bereich 
5 VB ) . 

Im weiteren ist eine Beschreibung des Zustandsautomaten der 
Steuerung FS des Hubdrehtischs. HD in CSL angegeben:. 



10 CSLxtClasses table 
Types 

bool = [nein, ja]; 

posType =. [xO, xl, x2] ; 

movType = [stop, plus, minus] ; 



15 



Class pcd 



StateVariables 

input vpos : . posType default xO; 

20 input hpos : posType default xO; 

input part_on_table : bool default nein; 
output vmpv: movType default stop; 
output hmov: movType default stop; 

25 Transitions 

start_up := ( par t_o notable = ja /\ vpos = xO) 

==> (** vmov = plus) ; . 

rotate := ( par t_on__t able = ja /\ vpos- = xl /\ hpos < x2) 

==> (** hmov == plus) ; 

30 stophigh := (part_o notable = ja /\ vpos = x2) 

• ==> (** vmov = stop); 

stop45 := ( par t_on_t able = ja /\ hpos = x2) 

~> (** hmov = stop) ; 

rotatejDack := ( par t_on_t able = nein /\ vpos = x2 /\ 
35 A hpos = x2) ==> {** hmov = minus) ; 

start_down := (part_on_table = nein /\ hpos = xO /\ 
/\ vpos = x2) ~> (** hmov - stop /\ 



BNSDOCID: <WO _0840796A1J^> 



wo 98/40796 



PCT/DE98/00633 



12 

/\ ** vmov = minus); 
stoplow := ( par t_on_t able = nein /\ vpos = xO) 
==> (** vmov = stop); 

End /* Class pcd^controll*/ 
End table 
CSLInstances i 

table : pcd; 

End i 

Die oben angegebene Beschreibung in CSL legt die Steueriings- 
logik des Hiobdrehtischs HD fest. Der Kopf der CSL- 
Beschreibung vereinbart Datentypen (Wertebereiche) der Zu- 
standsvariablen. Die anschlieflende Deklaration der Zustands- 
variablen nutzt diese Typvereinbarungen und legt zusStzlich 
Anfangswerte fest. Anhand der Vereinbarung von Zustandsvaria- 
blen als Input oder Output kann festgestellt werden^ ob es 
sich urn ein.e Zustands variable handelt, die den Prozefizustand 
darstellt oder ob sie Zustande der Steuerung FS kodiert. In- 
putvariablen der Steuerung FS kodieren ProzeBzustande . Out- 
putvariablen der Steuerung . FS kodieren Steuerungs zustande. 
Die Zeile ,,input vpos: posType default xO"" deklariert eine 
Zustandsvariable mit Namen „vpos^\ die die Werte xO, xl und 
x2 (die Werte des Typs posType) annehmen kann und- der en An- 
fangswert xO ist. 

Die Transitionen (Transitions) dienen zur Beschreibung der 
Steuerungslogik. Transitionen werden ausgelost durch Werte- 
kombinationen der Inputvariablen der Steuerung FS, die Pro- 
zeBzustande darstellen - also die Position des Hubdrehtischs 
HD in der vertikalen (vpos) und der horizontalen (hpos) Bewe- 
gungsrichtung irnd das Vorhandensein eines Werkstticks WS auf 
dem Hubdrehtisch HD, (part_on_table) . Die Werte der Outputva- 
riablen vmov und hmov werden durch die Transitionen, die die 
Steuerungslogik implementieren, modifiziert. Sie beschreiben 
die Zustande der Steuerxmg. Ihre Werte werden allein durch 
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Zustandstibergange der Steueriing, also durch die der Steuerung 
eingepragte Logik modif iziert . 

Diese Inf ormationen konnen aus der CSL-Beschreibung automa- 
tisch entnommen warden. Es kann zwischen Eingaben der Steue- 
rung (Inputs, Sensordaten) und Ausgaben der Steuerung 
(Outputs: Aktorkommandos) unterschieden werden. Auiierdem sind 
die jeweils moglichen Werte erkennbar (Typdeklarationen) . 

Die Informationen bleiben im wesentlichen auch nach der Ober- 
setzung der dSL-Beschreibung in das sogenannte Finite State 
Machine-Format (FSM- Format) erhalten. Dieses FSM- Format re- 
prasentiert die zustandsendliche Beschreibung in Form soge- 
nannter Binary Decision Diagrams (BDD) , die den Vorteil be- 
sitzen, in vielen Fallen auch sehr umfangreiche Zustandssy- 
steme kompakt zu reprasentieren. Eine Obersicht Uber Binary 
Decision Diagrams (BDD) ist in [5] beschrieben. 

Eiri ProzeBmodell zur Beschreibung der Reaktionen des gesteu- 
erten Prozesses ist erganzend zur in CSL beschriebenen Steue^ 
rungslogik erf orderlich, urn z.B. Aussagen tlber die Menge der 
erreichbareii Zustande zu ermoglichen. Dies kann im Rahmen des 
Model Checkings mit Hilfe sogenannter Assumptions, erfolgen. 
Da das Model Checking auch im Rahmen der fdrmalen Verifikati- 
on der fehlerfreien Steuerung iiblicherweise verwendet wird, 
sind diese Assumptions iiblicherweise bereits vorhanden und 
konnen im Rahmen dieser Analyse erneut verwendet werden. 

Mit den Assumptions wird beschrieben, wie sich die Positiohen 
des Hubdrehtischs HD und das Vorhandensein eines Werkstticks 
WS in Abhangigkeit der Bewegungsrichtung und der aktuellen 
Position verandern kOnnen. Die unten dargestellte Assumption 
( 'table. ymov» = stop /\ 'table. vpos' = xO) /\ 
x{' table, vpos' = xO) stellt dar, daB, falls die vertikale Be- 
wegung gestoppt ist und die aktuelle vertikale Position unten 
(xO) ist, auch im nSchsten Zustand die vertikale Position xO 
ist. Dieser Assxamption liegt der Sachverhalt zugrunde, . daB. 
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sich Positionen nicht andern, falls keine Bewegung stattfin- 
det. 

Im weiteren sind mSgliche Assumptions, d.h. Bedingungen ftir 
5 die oben beschriebene Steuerung FS beschrieben: 

process :=g (((' table .vmov' = stop /\ • table, vpos' = xO) /\ 
/\ X ( 'table, vpos' = xO) \/ {• table, vmov • = stop /\ 
. /\ 'table. vpos' = xl) /\ x (' table .vpos ' = xl) 
10 \/ ( 'table, vmov' = stop /\ 'table. vpos' = x2) /\ 

/\ x (' table. vpos ' = x2) 

\/ ( 'table. vmov' = plus /\ 'table. vpos' = xO) /\ 
/\ x ( 'table, vpos' = xO \/ 'table, vpos' = xl) \/ 
\/ ( ' table. vmov' =^ plus /\ 'table. vpos' = xl) /\ 

15 /\ x( 'table, vpos ' = xl \/ ' table, vpos ' = x2) \/ 

\/ { 'table. vmov' = plus /\ 'table. vpos' = x2) /\ 
/\ xC table. vpos' = x2) \/ ( 'table. vmov' = minus /\ 
/\ 'table -vpos' = xO) /\ x ( 'table, vpos ' = xO) \/ 
. \/ ('table. vmov' = minus /\ 'table. vpos' = xl) /\ 

20 /\ xC table. vpos' = xO \/ 'table. vpos' = xl) \/ 

\/ ( 'table. vmov' = minus /\ 'table. vpos' = x2) /\ 
/\ x(' table. vpos '= xl \/ 'table. vpos' = x2)) /\ 
/\ (( 'table. hmov' = stop /\ • table. hpos' = xO) /\ 
/\ x( 'table. hpos' = xO) \/ (' table. hmov' = stop /\ 
.25 /\ ' table. hpos • = xl) /\ x (' table. hpos ' = xl) \/ 

\/ {'table. hmov' = stop /\ 'table. hpos' = x2) /\ 
/\ x( 'table. hpos ' = x2) \/ (' table. hmov • = plus /\ 
/\ 'table. hpos' = xO) /\ x {' table. hpos ' = xO \/ 
. \/ ' table- hpos' = xl) \/ ( 'table. hmov' = plus 

30 /\ 'table -hpos' = xl) /\ x ( 'table, hpos ' = xl \/ 

\/ ■• table -hpos' = x2) \/ (' table. hmov ' = plus /\ 
/\ 'table. hpos' = x2) /\ x (• table. hpos ' = x2) \/ 
\/ (' table. hmov • = minus /\ 'table. hpos' = xO) /\ 
/\ x( 'table. hpos' = xO) \/ (' table. hmov ' = minus /\ 

35 /\ 'table. hpos' = xl) /\ x (' table. hpos • = xO \/ 

\/ 'table. hpos' = xl) \/ (' table. hmov' = minus A 
/\ 'table. hpos' = x2) /\ x ( • table.hpos ' = xl \/ 
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\/ 'table. hpos' = x2) ) /\ {( 'table. vpos' = xO /\ 
/\ ' table. hpos* = xO /\ ' table .vmov' = stop /\ 
/\ ' table. hmov' = stop /\ , 
/\ ' table. part_on_t able' = neih /\ 
5 /\ x ( ' table. part_on_table' = ja) ) \/ 

\/ ( 'table. vpos' = x2 /\ 'table. hpos' = x2 /\ 
/\ ' table. vmov' = stop /\ 'table. hmov' = stop /\ 
/\ ' table. part_on_table' = ja /\ 
/\ X (' table. part_on_table' = nein) ) \/ 
10 \/ ( 'table. part_on_table' - ja /\ 

/\ X ( stable. part_on_t able' = ja) ) \/ 
\/ (• table. part_on_table' = nein /\ 
/\ X ( ' table .part_on_table \ = nein) ) ) ) . 

15 In Figur 8 ist ein Zustandsraum ZR des Hubdrehtischs HD und 
die Bewegung des fehlerfreien Hubdrehtischs HD im Zustands- 
raum ZR dargestellt, wie er sich nach Durchftihrung .des Model 
Checkings auf die zustandsendliche Beschreibung der fehler- 
freien Steuerung FS mit den angegebenen Assumptions ergibt, 

20 

In den Zeilen ist jeweils ein Wertepaar ftir das Tripel der 
Variablen (vpos, hpos, par t_on_t able) dargestellt. In den 
Spalten ist jeweils ein Wertepaar fUr das Tupel der Variablen 
(vmov, hmov) mit den jeweils oben definierten Wertemengen 
25 dargestellt. 

Schraffiert Kreise in dem Zustandsraum ZR markieren hinsicht- 
lich der Sicherheitsbedingung ^verbotene^^ bzw. ,,gef ahrliche"" 
Zustande. Fett markierte Kreise in dem Zustandsraum ZR mar- 
30 kieren Zustande, die der Hxibdrehtisch HD gemaB der oben ange- 
gebenen- Beschreibung annehmen kann. Diese wurden durch das 
Model Checking ermittelt. Durch Pfeile sind Zustandsubergange 
in dem Zustandsraum ZR angedeutet. 

35 In Figur 9 ist der Zustandsraum ZR des Hubdrehtischs HD und 
die Bewegung des Hxabdrehtischs HD im Zustandsraiom ZR darge- 
stellt, falls der Sensor ' par t_on_t able' f ehlerhaf terweise 
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ein WerkstUck WS meldet. In Figur 9 warden die gleichen Be- 
zeichnungen verwendet wie in Figur 8. Es ist deutlich zu er- 
kennen, daB fUr diesen Fehlerfall Zustande auftreten konnen, 
die im fehlerfreien System nicht erreichbar sind. Diese Zu- 
stande sind in Figur 9 mit VZ bezeichnet. 

Den einzelnen Sensoren x und/oder Aktoren y warden Ausfall- 
iwahrscheinlichkeiten zugeordnat, die jaweils die Wahrschein- 
lichkeit fUr das Auftreten eines Fehlers bei dem Sensor x 
bzw. Aktor y beschreiben. Durch VerknUpfung von Verbundwahr- 
scheinlichkeiten ftir das Auftreten von Fehlern verschiedener 
Sensoren und/oder Aktoren und flir das Auftreten verschiedener 
Zustande kann durch diese Vorgehensweise eine sehr einfach 
Risikoabschatzuiig fUr das technische System erfolgen. Details 
zur Berechnung abhangiger Wahrscheinlichkeiten in Fehlerbaa- 
men sind in [1] zu finden. 

Somit erfolgt die Fehleranalyse unter Berttcksichtigung der 
Ausf allwahrscheinlichkeiten . 

Das Verf ahren wird vorzugsweise ftir alle mSglichen Fehler der 
yorhandenen Sensoren und/oder Aktoren durchgeftlhrt . 
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Im Rahmen dieses Dokuments wurden folgende VerSf f entlichungen 
zitiert: 

[1] DIN 25424, Tail 1: Fehlerbaimanalyse : Methode und 
5 Bildzeichen; Teil 2 : Handrechenverf ahren zur Auswertung 

eines Fehlerbaums 

[2] J, Dekleer und B. C. Williams, Diagnosing Multiple 
Faults, , Elsevier Science Publishers, Artificial 
10 Intelligence, Vol- 32, 1987, S. 97 -130 

[3] K. NOkel, K. Winkelmann, Controller Synthesis and Veri- 
fication: A Case Study, in: C. Leverentz, T. Lindner, 
Formal Development of Reactive Systems, Lecture Notes in 
Computer Science (Nr. 891), Springer 1995, S. 55 - 74 



15 



[4] J. Burch et al. Symbolic Model Checking for Sequential 
Circuit Verification, IEEE Trans, on Computer-Aided 
• Design of Integrated Circuits and iSysteias, Vol. 13, 
20 Nr. 4, S. 401 - 424, .April 1994 

[5] R. Bryant, Symbolic Boolean Manipulation with Ordered 

Binary-Decision Diagrams, ACM Computing Survey, Vol. 24, 
Nr. 3, S. 293 - 318, September 1992 
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P a t en t ansp r tlch e 

1. Verfahren zur rechnergestiitzten Fehleranalyse von Sensoren 
und/oder Aktoren in einem technischen System, welches in Form 

5 einer zustandsendlichen Beschreibung vorliegt/ die Zustande 
des technischen Systems aufweist, durch einen Rechner, 
a) bei dem fiir einen Fehler eines Sensors und/oder eines Ak- 
tors eine zustandsendliche Beschreibung des technischen Sy- 
stem:s fUr den Fehlerfall ermittelt wird, 
10 b) bei dem fiir das technische System eine erste Menge er- 
reichbarer Zustande ermittelt wird, 

c) bei dem fUr das fehlerbehaftete technische System eine 
zweite Menge erreichbarer Zustande enaittelt wird, 

d) bei dem eine Differenzmenge aus der ersten Menge und der 
15 zweiten Menge gebildet wird, 

e) bei dem Ergebnis zustande aus der Dif f erenzmengfe eanaittelt 
werden, die vorgebbaren Bedingungen genugen. 

2. Verfahren nach Anspruch 1, _ 

20 bei dem die Verf ahrensschritte a) bi^ f) far alle moglichen 
Fehler von Sensoren und/oder Aktoren, die das technische Sy- 
stem aufweist, durchgeftihrt werden. 

3. Verfahren nach Anspruch 1 oder 2, 

25 . - bei dem den Sensoren und/oder Aktoren Ausf allwahrschein- 
lichkeiten zugeordnet werden, und 

- bei dem die Fehleranalyse unter Berucksichtigung der Aus-. 
f allwahrscheinlichkeiten erfolgt. 

30 4. Verfahren nach einem der Anspriiche 1 bis 3, 

bei dem -die Verf ahrensschritte b) und c) nach dem Verfahren 
des Model Checking erfolgt. 

5. Verfahren nach einem der AnsprUche 1 bis 4, 
35 bei dem in dem Verfahren eine zustandsendliche Beschreibung 
eines von dem technischen System durchgeftihrt en Prozesses be- 
. riicksichtigt wird. 
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6. Verfahren nach einem der Ansprtiche 1 bis 5, 

bei dem die zustandsendliche Beschreibung durch einen endli- 
Chen Automaten realisiert wird. 

5 

7. Verfahren nach Anspruch 6, 

bei dem die zustandsendliche Beschreibung durch einen endli- 
Chen Automaten in Form eines Binary Decision Diagrams (BDD) 
realisiert wird. 

10 

8. Verwendung des Verfahrens nach einem der AnsprUche 1 bis 7 
beim Rapid Prototyping des technischen Systems. 

9. Verwendung des Verfahrens nach einem der Anspriiche 1 bis 7 
15 im Rahmen der Fehlerdiagnose des technischen Systems. 

10. Verwendung des Verfahrens nach einem der AnsprUche 1 bis 

. 7 2ur Generierung kritischer Prtiffaile ftir eine Inbetriebset- 
zung und einen Systemtest des technischen Systems, 

20 ; 

11. Verwendung des Verfahrens nach einem der Ansprtiche 1 bis 
7 zur praventiven Wartung des technischen Systems. 
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